ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
         

Подсистема удаленного администрирования


Программно-аппаратный комплекс "ФПСУ Х.25" содержит специальные программные средства, позволяющие осуществлять централизованное дистанционное управление и мониторинг состояний МЭ (в режиме времени близком к реальному) с использованием графического интерфейса работой группы СФ (до 128) с одного компьютера из любого фрагмента сети Х.25. Для обеспечения указанной возможности комплекс включает в себя подсистему удалённого администрирования, состоящую из программного обеспечения для АРМ управляющего администратора и ряда подсистем в комплексе "ФПСУ Х.25", поддерживающих работу удаленной части системы администрирования.

Главный принцип удаленного администрирования - взаимная аутентификация при обмене информацией между СЕТЕВЫМ ФИЛЬТРОМ и удалённым администратором (далее УА). Для обеспечения взаимной аутентификации МЭ и удалённый администратор должны быть взаимно зарегистрированы, т.е. каждый администратор должен зарегистрировать подконтрольные МЭ и сам должен быть зарегистрированным этими МЭ, получив при регистрации от их локальных администраторов определенные конкретные полномочия на контроль и управление МЭ.

Обмен информацией между УА и МЭ ведётся в режиме "клиент-сервер", т.е. запрос данных осуществляет администратор, а МЭ ему высылает ответ, и никогда наоборот.

Удаленный администратор МЭ имеет собственный сетевой адрес для осуществления запросов к МЭ, передачи приказов и получения необходимой информации, но иные обращения по сети (исходящие или входящие) к нему запрещены.

В подсистеме удаленного администрирования реализованы следующие механизмы защиты от НСД:

  • блокировка входящих вызовов;

  • идентификация и аутентификация МЭ при запросах удаленного администратора;

  • идентификация и аутентификация удалённого администратора при запуске подсистемы;

  • защита работы подсистемы путем блокировки любых действий до введения пароля.

    • Программное обеспечение удалённого администратора может быть установлено на любом компьютере сети с обычной операционной системой, отвечающем условиям применения (см.
    Раздел 2 "Условия применения комплекса"), и включает в себя ряд модулей со следующими функциями:





    Модули

    Назначение


    Модуль регистрации

    Регистрация СЕТЕВЫХ ФИЛЬТРОВ с целью их последующей идентификации и аутентификации при запросах удаленного администратора


    Модуль статистики

    Дистанционный контроль за работой МЭ


    Модуль мониторинга



    Модуль конфигурации

    Дистанционное управление МЭ
    В локальном комплексе для поддержки дистанционного управления реализованы:

  • подсистема регистрации удалённых администраторов, имеющих доступ к данному МЭ (не более четырёх на один МЭ), для их последующих идентификации и аутентификации при запросах; подсистема содержит средства, позволяющие локальному администратору МЭ просмотреть список зарегистрированных УА с установленными для них правами на доступ;


  • модуль аутентификации удалённых администраторов в подсистеме фильтрации, который после проверки подлинности администратора и его прав на запрошенную операцию осуществляет доступ его к соответствующим подсистемам комплекса.


    • Подсистема удаленного администрирования даёт администратору (при наличии зарегистрированных полномочий) следующие возможности:

  • просмотреть список зарегистрированных МЭ, зарегистрировать новые МЭ или удалить их из списка;


  • внести изменения в ранее полученные инициализационные данные МЭ или изменить собственные параметры с последующей перерегистрацией;


  • ограничить или запретить доступ к работе с подсистемой другим лицам путем установления режима запуска подсистемы по аутентификационным данным, установления режима запуска подсистемы по паролю или блокировки работы подсистемы до введения пароля;


  • запросить, получить, просмотреть и проанализировать правила фильтрации, установленные на подконтрольных МЭ;


  • согласованно изменить и установить правила фильтрации для группы подконтрольных МЭ, режимы их работы и использовать резервную линию ANET для резервирования основной линии связи при сбоях в глобальной сети x.25;


  • синхронизировать время на подконтрольных МЭ с текущим временем своего компьютера;


  • запросить, получить, просмотреть, проанализировать и обработать указанную по виду и времени регистрационную информацию о событиях на подконтрольных МЭ как в автоматическом режиме с заданным периодом времени, так и в режиме непосредственного обращения;


  • программировать автоматический анализ получаемой информации с оперативно отображаемой графической и звуковой сигнализацией событий по попыткам нарушения правил фильтрации, изменению правил фильтрации и по состоянию сетевых портов при их возникновении на МЭ;


  • осуществлять автоматический мониторинг состояния удалённых МЭ практически в реальном масштабе времени;


  • использовать графический интерфейс для удалённого централизованного контроля состояния и управления МЭ с отображением топологии сети и состояния подконтрольных МЭ.



    • Содержание раздела